- PVSM.RU - https://www.pvsm.ru -
Продолжаем публиковать статьи, посвященные резервному копированию и восстановлению после сбоев виртуализованной Active Directory. В предыдущей статье [1] речь шла о восстановлении контроллера домена целиком. Однако системным администраторам гораздо чаще приходится сталкиваться с запросами на восстановление отдельных объектов Active Directory. Поэтому сегодня мы рассмотрим восстановление из tombstone объектов виртуализованной Active Directory в системах с функциональным режимом работы леса не выше Windows Server 2008. В принципе, сейчас они встречаются довольно редко, но где-то наверняка еще используются. О более новых системах и таких возможностях, как корзина Active Directory, будет рассказано в следующей статье.
Итак, почему же так важно понимать, как функционируют системы более ранних версий? Потому что современная логика и привычная функциональность в этих случаях неприменимы. До появления Windows Server 2008 R2 жизненный цикл объектов Active Directory выглядел следующим образом:
Удаление объекта Active Directory не приводит к его физическому удалению – а происходит вот что:
И вот здесь возникает вопрос: если «tombstone» объект не удаляется физически в течение некоторого времени, нельзя ли его восстановить? Коротко говоря — можно. Хотя такой механизм удаления объектов не был предназначен для использования в качестве временной корзины, а удаленные объекты не предполагалось восстанавливать, технически это возможно. Далее я расскажу, как это можно сделать.
LDP (LDP.exe) —проверенная временем программа, созданная разработчиками Active Directory. Выглядит она довольно просто, но у нее много возможностей, которые позволяют полностью управлять объектами Active Directory. Недостаток ее в том, что на освоение функционала программы нужно потратить довольно много времени, а интерфейс не слишком современен и понятен.
Примечание: Эта статья не является полноценным руководством по программе LDP. Чтобы научиться работе с программой, рекомендую воспользоваться руководством по LDP [2].
Итак, чтобы восстановить «tombstone» объект с помощью LDP, необходимо сделать следующее:
На рисунке ниже показан типовой пример поиска, который я выполнил, чтобы найти tombstone-объекты в моем тестовом домене:
В дополнение к сказанному выше следует помнить некоторые особенности такого восстановления tombstone-объектов. Так, некоторые атрибуты (например, членство в группах), удаленные при первоначальном удалении, не будут восстановлены, что потенциально может создать вам проблемы.
В качестве альтернативного способа можно использовать решения Veeam, в частности, Veeam Explorer для Active Directory [3]. Эта программа позволит вам выполнять восстановление гораздо проще и быстрее. При этом она решает многие проблемы восстановления tombstone-объектов — например, потерю пароля учетной записи и многих важных атрибутов, таких как имя и фамилия пользователя. Однако такой вариант восстановления годится не для всех сценариев — сначала надо провести предварительную подготовку. А именно: для использования Veeam Explorer для Active Directory у вас должна быть резервная копия контроллера домена, где был удален объект. На сегодня мы рассматриваем виртуализованный контроллер, чья резервная копия была создана с помощью Veeam Backup & Replication.
Итак, если вам посчастливилось быть администратором виртуального контроллера домена с функциональным режимом работы леса доменов Windows Server 2003 или Windows Server 2008, можно использовать следующую процедуру:
Убедитесь, что у вас есть резервная копия контроллера домена и что при ее создании была включена обработка данных с учетом состояния приложений (о том, почему это важно, говорилось в первой статье [4] серии) – то есть у задания бэкапа была выбрана опция Guest Processing > Enable application-aware processing.
Если вам нужно восстановить удаленный объект, перейдите к резервной копии контроллера домена, кликните правой кнопкой и выберите Restore application items > Microsoft Active Directory objects… (объекты Microsoft Active Directory), чтобы начать восстановление и запустить Veeam Explorer для Active Directory.
Найдите нужный контейнер и включите опции Compare all objects (сравнить все объекты) и Show changed objects only (показывать только измененные объекты). Таким образом вы настроите предварительную фильтрацию: Veeam Explorer сравнит данные в резервной копии с текущим состоянием DC и отобразит только измененные объекты. Просмотрите состояние объектов и найдите те, у которых оно обозначено как Tombstone.
Нужный объект (объекты) можно восстановить в рабочую среду или экспортировать как файл .lde.
Восстановление старого пароля позволит снизить нагрузку на администратора и сделать процесс восстановления учетной записи полностью незаметным для пользователя. Представьте себе, что ночью в результате сбоя исчезло целое подразделение (OU) с сотнями пользователей, и его нужно восстановить. Утром при входе в систему всем сотрудникам будет предложено сменить пароль, и они, разумеется, начнут задавать вопросы. Естественно, если есть возможность, лучше такой ситуации избежать.
С учетом сказанного выше, понятно, что Veeam Explorer для Microsoft Active Directory предлагает относительно простой способ восстановления tombstone-объектов Active Directory. Если вы работаете в подходящей системе, рекомендую обратить внимание на этот продукт.
На сегодня, пожалуй, всё. В следующей статье серии сравним возможности корзины Active Directory с другими способами восстановления объектов.
Автор: Veeam Software
Источник [6]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/rezervnoe-kopirovanie/219866
Ссылки в тексте:
[1] предыдущей статье: https://habrahabr.ru/company/veeam/blog/313570/
[2] руководством по LDP: https://technet.microsoft.com/en-us/library/2007.09.tombstones.aspx
[3] Veeam Explorer для Active Directory: https://www.veeam.com/ru/microsoft-active-directory-explorer.html
[4] первой статье: https://habrahabr.ru/company/veeam/blog/309904/
[5] Обзор Veeam Endpoint Backup FREE 1.5: https://habrahabr.ru/company/veeam/blog/281050/
[6] Источник: https://habrahabr.ru/post/317174/?utm_source=habrahabr&utm_medium=rss&utm_campaign=best
Нажмите здесь для печати.